3

Maven セントラル リポジトリのセキュリティ、特にクロス ビルド インジェクション攻撃 (XBI) について調査しました。以下にリストしたいくつかのリンクを読みました。

http://www.sonatype.com/people/2010/01/how-to-generate-pgp-signatures-with-maven/

http://maven.apache.org/guides/mini/guide-central-repository-upload.html

Maven POM ベースの自動ビルド システムでの依存関係の信頼性の検証

ここに私が理解している重要な点があります

  1. 中央リポジトリへのすべてのアップロードには、オープン ソース プロジェクトのリリース マネージャーが所有する PGP 秘密鍵によって署名されたアーティファクトが必要です。
  2. 公開鍵は、MIT キー サーバーなどのキー サーバーに送信する必要があります。
  3. ダウンロードしたアーティファクトを手動で検証するのは面倒です。
  4. Nexus Pro などのリポジトリ マネージャーは、ダウンロードしたアーティファクトの署名を自動検証する機能を提供します。

しかし、Nexus Pro はどのように自動検証を行うのでしょうか? Nexus は、Maven Central がホストするすべてのオープン ソース プロジェクトの PGP キー ID のリポジトリを維持していますか? sonatype は、オープンソース プロジェクトが鍵サーバーにアップロードする PGP 公開鍵を検証して署名しますか? 内部事情を知っている人はいますか?

4

1 に答える 1

0

すべての GPG キーは公開キー サーバーで利用可能であり、Nexus はダウンロードされた各コンポーネントの GPG キーに対して検証します。Central へのアップロードごとに、既知の登録済みの承認済みキーが必要です。

プロセスの詳細については、https://docs.sonatype.org/display/Repository/Sonatype+OSS+Maven+Repository+Usage+Guideを参照してください。

于 2013-07-02T22:34:48.743 に答える